世界のメールの暗号化はたった一人の男に依存しており、開発資金はゼロになってしまっているという衝撃の事実が判明

世界中のジャーナリストやセキュリティ関連に敏感な人、さらにはエドワード・スノーデン氏のような内部告発者までもが使用している、無料のメール暗号化ソフトウェアが「GNU Privacy Guard(GPG)」です。この暗号化ソフトを1997年からたった一人で開発してきたのがヴェルナー・コッホ氏で、彼が置かれている厳しい現状をProPublicaが明かしています。

The World’s Email Encryption Software Relies on One Guy, Who is Going Broke - ProPublica
http://www.propublica.org/article/the-worlds-email-encryption-software-relies-on-one-guy-who-is-going-broke

ソフトウェアエンジニアのコッホ氏がGPGの開発をスタートさせたのは1997年のことで、それ以来ほとんど一人でドイツの自宅からコツコツとソフトウェアの開発を続けてきました。コッホ氏は現在53歳ですが、ProPublicaにコッホ氏の記事が掲載された2月5日午前10時の段階で、既に開発資金は一切合財使い果たしてしまっている状況だそうです。

ProPublicaのジュリア・アングウィンリポーターが、2014年12月にドイツで開催されたハッカーの集会にてコッホ氏にインタビューした際、コッホ氏は「私はあまりに理想主義すぎます。2013年の初め、私は本当にGPGの開発を投げ出して、他の仕事を受けようとしているところでした。しかしその時、スノーデンのニュースが明らかになり、私は『今は辞めるべきタイミングではない』と思ったんです」と語っています。

他のセキュリティ関連のソフトウェアを開発しているエンジニアと同じように、コッホ氏は基本的なソフトウェアコードは無料で公開するのが、バックドアなどを設置していないと証明するためのベストの方法と考えているそうです。オープンソースのソフトウェアではソフトを販売して金銭を得ることができないので、一般企業には取り組みづらいようで、必然的にコンピューター上で使用される重要なセキュリティツールのほとんどがボランティアにより維持されるということになっているのが現状だそう。

スノーデン氏による内部告発から1年以上が経過したわけですが、現在コッホ氏はプロジェクトを推し進め、彼の夢である「常勤のプログラマーを雇う」ための資金集めに奮闘しています。コッホ氏が年間で得られる収入は現在のところ2万5000ドル(約290万円)程度だそうで、とても「常勤のプログラマーを雇う」という夢を実現させるような金銭的な余裕はないので資金集めを行っているわけです。

そこで、2014年の12月からコッホ氏は寄付金を募っており、ProPublicaに記事が掲載された2月5日までに4万3000ドル(約500万円)を集めたそうです。しかし、コッホ氏の短期目標額は13万7000ドル(約1600万円)で、これだけの資金があれば自身に十分な給料を支払い、常勤のプログラマーを雇うことも可能になるようです。

コッホ氏のGPG開発に少しでも役に立ちたい、という場合は以下のページからクレジットカードかPayPalで寄付が可能。

GnuPG - Donate

コッホ氏の事例のように、インターネットのセキュリティソフトウェアに、十分な財源が与えられていないという問題は日に日に大きくなってきています。2014年にはOpenSSLに「Heartbleed Bug」と呼ばれる脆弱性が発見されました。OpenSSLはAmazonからTwitterに至るまでさまざまなネットサービス上で使用されている暗号化プログラムですが、Heartbleed Bugの発覚によりたった4人のプログラマーの手で維持されていたことが明らかとなり、さらには4人の中でOpenSSLの開発を専任の仕事としてこなしているのはたったの1人しかいなかったことも判明しています。

これだけ重大なバグが発覚したにも関わらず、アメリカではいまだにスパイ行為や情報機関に年間500億ドル(約5兆9000億円)以上が費やされており、インターネットセキュリティにはほとんど資金を充てていないという現状が続いています。

Heartbleed Bugの詳細については以下の記事を読めば分かります。

ネット上のサイトの約66％が使用するOpenSSLに重大なバグが発見される - GIGAZINE

コッホ氏が開発するメール暗号化プログラムはMac OS X向けの「GPGTools」、ブラウザ拡張の「Enigmail」、Windows向けの「GPG4Win」といった暗号化ソフトとして活用されています。「私の恐れる悪夢のひとつは、ヴェルナー・コッホが開発不可能な状況になることです」と語るのはEnigmailの開発者であるニコライ・ジョスティス氏。Enigmailは2人のエンジニアにより維持されている暗号化用の拡張機能で、2人とも他に常勤の仕事を持っており、仕事の合間にEnigmailの開発を進めているそうです。

なお、Enigmailでも寄付金を募っているそうですが、年間約1000ドル(約12万円)の寄付金が集まる程度だそう。「GPGTools」はMac OS X向けの暗号化ソフトで、サービスの有料化が2014年10月にアナウンスされており、どのソフト開発も厳しい財政状況の中でやりくりしていることが伺えます。

メールの暗号化が初めて一般向けにも可能になったのは1991年のことで、フィル・ジマーマン氏がリリースした無料の「Pretty Good Privacy(PGP)」によりこれが可能になりました。PGPは誰もが使用できる暗号化ソフトだったわけですが、当時のアメリカ政府の輸出規制により輸出が困難な状況でした。

そして1997年、コッホ氏はフリーソフト開発者のリチャード・ストールマン氏の公演を聞きに行ったそうで、その際ストールマン氏は聴衆に「PGPの独自のバージョンをみなさんが各自で作ってください。我々はPGPを輸出することはできませんが、あなたがたの書いたものならば輸入可能です」と語ったそうです。

コッホ氏はこの言葉に触発されてGPGの開発をスタートさせています。コッホ氏はGPGの初期バージョンとなるソフトウェアを公演後の数ヶ月で開発、これはUnix系のOSでのみ動作するソフトウェアでしたが大ヒットします。そして無料でソースコードの基本的な部分は公開され、アメリカの輸出制限対象にもならなかったそうです。

その後、1999年にはドイツ政府から補助金を受けてGPGのWindows互換版を作ることになり、GPG4Winが完成。また、2005年にもドイツ政府からの援助を受けて他の暗号化方式の開発に取り組んでいます。

しかし、これらの援助で集まった開発資金も2010年にはすべて使い果たしてしまったそうで、その後2年間は「なんとか資金が集まるはず……」という考えのもとで常勤のプログラマーに給料を払い続けたそうですが、2012年8月にはその余裕もなくなり一人で開発を続ける羽目になってしまった、というわけです。

なお、ProPublicaにヴェルナー・コッホ氏に関する記事が掲載された後、Linux FoundationのCore Infrastructure Initiativeから6万ドル(約700万円)の補助金が支給されたそうです。